皆さんこんにちは！ セキュリティチームの中尾です！
 
これまで色々なセキュリティの情報を公開してきた私達のチームですが、結構反響が大きかった情報の 1 つが、”絵でみるセキュリティ情報” でした。英語で言うと Visual Security Bulletin と言うのですが、そのタイトルすら結構苦労したんですよ。
 
ただいまセキュリティ関係のサイトをいろいろ見直しているのですが、絵でみるセキュリティのトップページをどうしようか悩んでます。
(ここです) http://www.microsoft.com/japan/security/security_bulletins/default.asp
 
情報提供の開始からもう2年も経ちました。早いものですねえ。でも月日を重ねていくうちに情報量も増えて読みづらくなってきてしまいました。
そこで、すっきりと見やすくするために、
 
1. 掲載するセキュリティ更新プログラムへのリンクを公開した月のものだけにします
2. 過去のものは年ごとにまとめたページを作成し、そこへのリンクを掲載します
 
というように変更したいと思っています。
 
私達マイクロソフトとしてはこのような変更が良いと思っているのですが、実際に情報を見ていただくのはお客様です。そのため、私達が変更をすることで皆様の使い勝手が悪かったり、用を足さなくなるのが心配です。
そこで、もしもこのような変更をしたとして、これまで得ていた情報が得られなくなるとか、使い勝手が悪くなるという方がいたら、ぜひこの記事にトラックバックを使って意見を聞かせていただけると助かります(^-^)/
 
前提条件として、データベースの使用は社内的に制限があるので、このような変更を考えてみました。
 
私達の予想では、新しいセキュリティ情報の公開当初が 1 番アクセスされる傾向にあるので、昔の情報は、あまりアクセスされないのでは？と思っています。なので、アーカイブも 1 年分位で十分では？という気もしています。

--------------------

更新履歴

12/21: 一部不適切な表現があったため、削除しました｡

前回の Blog ですが、面白くもない内容なのに、沢山の方に読みいただきましてありがとうございます。
また、様々なご意見をいただき、全てのサイトを回って読ませていただきました。間違いなく今後自分を成長させる糧となることでしょう。。。

この仕事（セキュリティ対応）を 3 年も行っていると、何かが捻じ曲がり自分の考え方がネガティブな方向に走ることもあります。たとえば、更新プログラムをリリースした直後に新しいセキュリティホールが見つかったり、更新部分を解析して攻撃コードが出てきたり。。。そのたびにあたふた対応することがあります。もちろん日本はしっかりした体制で対応を行っているつもりですが、やっぱり気分的に落ち込みます。

そんな時、企業たるもの社会奉仕活動を重要視せねば！という社長の掛け声と共に、企業市民活動の一環として、コンピュータ教育開発センター (CEC) で行われている産業協力授業を行う機会をいただきました。しかも高校生にです！
最初は、「僕らセキュリティレスポンスチームが高校の授業を？冗談でしょう」－と感じたのですが、授業の流れを考えているうちに、川柳では難しかった「ご家庭でパソコンを使っている方々」と触れる機会を得るチャンスであり、今後のセキュリティの取り組みへのヒントが得られるのではないかと思ったのです。

想像していた通り、授業の構成から教科書作成に必要な作業が結構大変でしたが、多くの協力者のお力添えで、なんとかコンテンツも授業内容も、目玉となる擬似ウイルスやリモートからの侵入デモなども準備ができました。デモンストレーションは、高校の既存環境に影響を与えないように、ターミナルサービスで講師用コンピュータ内に閉じた実験環境を用意しました。

高校の授業では本当に素晴らしい体験をさせていただきました。
日ごろ IT Pro の皆様にいろいろなお話をさせていただく機会を頂いていますが、パソコン自体理解していない（する必要もない）方に、情報を扱うモラルを理解していただくための説明が如何に難しいか。
高校生は微妙な年代ですが、基本的に現実の世界ではご両親や、地域が彼らを守ってくれます。先生も指導してくれます。が、そんな彼らがインターネット上では完全に対等な状況で活動をしているわけです。私達プロフェッショナルが、彼らに伝えられることは技術だけではなく、そもそもの考え方や文化の醸成なども在るのではないか、と感じました。
生徒さんからは、（社交辞令かもしれないけど）”インターネットって気をつけないと怖いってことが良く分かりました” と言う意見と、”対策して頑張りまーす” っていうコメントを頂いて、本当に担当させていただいてよかったと感じています。

実はこの授業で使ったコンテンツなどはそのまま高校の授業でご使用いただけます。全国の高校生は、381 万人いるわけですが、もしも授業の中で情報セキュリティのお話を先生がしてくれたら。。。何かが変わるかもしれません。
授業の満足度の結果を見ると、希少性としてはそれほど高い授業ではなかったとの評価を頂きました。でも実は私達はそれを狙っていたのです。全国の先生は、本当に忙しい状況で、IT 分野など大学受験には影響しないわけですから、重要度は下がります。でも、誰もが行える難易度で、かつ内容が分かりやすければ、ちょっと時間を取ってみようか、と思ってくれるかもしれません。
難しい話をすることがセキュリティではないですし、かのブルース シュナイアー氏も ”セキュリティは製品ではなく、プロセス” と表現しています。インターネットに組み込まれたパソコンを使用する人自身がシステムに溶け込むわけですから、同様にプロセスも理解していただくのが本来あるべき姿だと再認識しました。

（あまり見ていただけてないかもしれませんが）社内のセキュリティ対策に問題意識を持っているみなさん、社内の啓発活動に重要なことは、だれもがわかる言葉でだれもが理解できる内容というのがヒントではないでしょうか？必要性が最初に理解できれば、自発的に対策を始めてくれる、かもです。セキュリティポリシーの資料などは、正式版と理解促進版の 2 種類あるといいかもしれません。甘いかな。

SRT 奥天

小野寺です。

本日 12/15 (日本時間) に公開を予定しているセキュリティ情報の件数と影響製品の概略を公開しました。
  http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx

さて、既にご存知の方も多いと思いますが、セキュリティ情報を公開したときに連絡するメールサービスを提供しています。 このサービスに登録していただくと、Webサイトを定期的に確認しなくてもメールで知ることが可能です。 ちなみに、無料です。 また、今月から事前告知についても同様にメールにてお届けしています。 公開時には、さらに、MSN アラート (http://alerts.msn.co.jp/home.aspx) のコンピューターアラートでも配信しています。 アラートが送信されるとデスクトップにポップアップでメッセージが表示されます。 公開は、日本の深夜(早朝) に行われるため、アラートは公開直後ではなく、当日の朝の 10 時前後に送るようにしています。

登録は、以下のサイトから行えます。 "Microsoft プロダクト セキュリティ 警告サービス" が今回の事前告知と公開のお知らせを行っているメールサービスになります。 他にも、セキュリティに関係するメールサービスを一括して登録できるようにしてありますので、セキュリティ関連の情報を必要としている方にはお勧めです。
  http://www.microsoft.com/japan/technet/security/secnews/subwiz.mspx

セキュリティ情報のような脆弱性に関する情報以外の、予防策や新しいコンテンツのお知らせは、"マイクロソフト セキュリティ ニュースレター" で毎月定期的にお知らせしています。

小野寺です。

本日 Internet Explorer の Iframe に関する脆弱性のセキュリティ更新プログラムを公開しました。
既に、悪用手法が公開され、実際に悪用されていたため１２月の定例公開日を待たずに公開となりました。 IT 部門の方々には予定外の公開で通常以上の負担をかけてしまうのは申し訳ない限りです。
さて、この緊急の公開についても、事前告知が行えないかが社内のセキュリティ担当者で話し合われました。(と、いっても前日に告知できるかというレベルですが・・・) 結論は、告知せずに公開と決まりました。 事前告知を行った方が、IT 部門の方への負担が幾分軽くなる可能性があると思っています。 しかし、告知を行うと、告知からセキュリティ更新プログラムの公開までの間に、駆込み的に悪用が増加する可能性が高く、告知を断念しました。

脆弱性の悪用方法が公開されていない、または、告知内容から悪用方法が特定できない場合は、事前告知を行うこともできたのかもしれません。 マイクロソフトからアナウンスを行うことでリスクを高めてしまう可能性と、IT 部門の方の負担軽減が今回はトレード・オフされてしまいました。 今後の同様のシチュエーションでよりよいバランスを見つけるのが、セキュリティチームの大きな課題となってしまいました。